Я настроил свой веб-сервер для использования SSL (я использую WAMP для своего сценария подготовки, прежде чем перенести его на общедоступные серверы). Назначение данного сайта выполнено успешно, и я могу использовать сайт с удаленных компьютеров по протоколу HTTPS.
Беспокойство, которое возникло у одного из моих пользователей (тестировщиков), касалось данных POST. В своем тестовом сценарии он находится на месте у одного из наших потенциальных клиентов, обращаясь к сайту за их ОЧЕНЬ придирчивым корпоративным брандмауэром (мы уже разработали, как этот сайт применяется к их AUP, и мы чисты). Он запускает сайт в FireFox, используя Firebug для отслеживания данных POST и GET. Вопрос вот здесь:
В его окне Firebug POST и ответ от XMLHTTPRequest возвращаются в виде обычного текста. Это потому, что он был тем, кто инициировал безопасное соединение? Будут ли данные POST / Response отображаться для сетевых администраторов или журналов?
Обратите внимание, что цель здесь не состоит в том, чтобы обмануть администраторов или обойти политику; это приложение, предназначенное для людей, находящихся в разных местах и нуждающихся в передаче конфиденциальных данных. Использование будет координироваться с каждой сетевой инфраструктурой, с которой мы сталкиваемся.
Да, данные POST должны быть зашифрованы. Все в HTTP-запросе должно быть зашифровано в разговоре SSL. Firebug получает информацию после того, как данные SSL были расшифрованы браузером. Если вы хотите убедиться, используйте что-то вроде Скрипач или WebScarab в качестве промежуточного сервера, хотя вам, возможно, придется поиграть в игры, чтобы заставить их работать с SSL. Вот страница о том, как расшифровать HTTPS-трафик используя Fiddler.